Это новое вредоносное ПО Python преследует компьютеры с Windows

Это новое вредоносное ПО Python преследует компьютеры с Windows

26 января 2023 г.

Исследователи кибербезопасности из Securonix недавно обнаружили новый на основе Python вредоносное ПО, способное красть файлы и регистрировать нажатия клавиш с уязвимых конечных точек.

Названное PY#RATION, вредоносное ПО, по-видимому, активно разрабатывается, и исследователи обнаружили несколько версий с августа 2022 года. Вредоносная программа использует протокол WebSocket для доступа к серверу управления и контроля (C2), получения инструкций и потенциального извлечения конфиденциальных данных.

Securonix заявляет, что вредоносное ПО «использует встроенную в Python платформу Socket.IO, которая предоставляет функции для взаимодействия клиента и сервера через WebSocket». Вредонос использует этот канал для извлечения данных и получения команд. Преимущество WebSocket, как утверждает издание, заключается в том, что он позволяет вредоносному ПО одновременно получать и отправлять данные по одному TCP-соединению через обычно открытые порты.

Несколько функций

Исследователи также заявили, что злоумышленники все это время использовали один и тот же адрес C2. Учитывая, что адрес еще не заблокирован в системе проверки IPVoid, исследователи предположили, что PY#RATION уже несколько месяцев находится вне поля зрения.

Функции PY#RATION включают, среди прочего, сетевое перечисление, передачу файлов на C2 и обратно, регистрацию клавиш, выполнение команд оболочки, перечисление хостов, удаление файлов cookie, удаление паролей, хранящихся в браузере, и буфер обмена. кража данных.

Подробнее

> Вредоносная программа Python использует новый хитрый метод
> Некоторые официальные репозитории Python были заражены вредоносное ПО

> Познакомьтесь с лучшими брандмауэрами прямо сейчас

Для распространения вредоносного ПО злоумышленники используют старую добрую фишинговую почту. Электронное письмо поставляется с защищенным паролем ZIP-архивом, который при распаковке содержит два файла-ярлыка, которые выглядят как файлы изображений — front.jpg.lkn и back.jpg.lnk.

« имена файлов «передняя» и «обратная» относятся к лицевой и оборотной сторонам несуществующего водительского удостоверения. Если жертвы щелкнут файлы, они получат еще два файла, загруженных из Интернета — front.txt и back.txt. Позже они переименовываются в файлы .bat и выполняются. Сама вредоносная программа пытается замаскироваться под Cortana, виртуального помощника Microsoft, чтобы воспрепятствовать ее удалению из системы.

Группа, стоящая за вредоносной программой, объем распространения и цель кампании, пока неизвестны. на этот раз.

Через: BleepingComputer

Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE

COPYRIGHT 2020 COFFEE-WEB.RU